El derecho al olvido de los niños: ¿dejar atrás el pasado y aceptar el futuro?

Eva Lievens

Affiliation:

Carl Vander Maelen

Affiliation:

Date Received:

Date Accepted:

Date:

Publication Date (Print):

DOI: https://doi.org/10.29263/lar02.2019.03

El artículo 17 del Reglamento General de Protección de Datos de la Unión Europea (RGPD) confirma el derecho de los sujetos a que sus datos personales sean eliminados. La razón 65 del RGPD aclara que este derecho es particularmente relevante cuando un niño da su consentimiento sin ser plenamente consciente de los riesgos que implica el tratamiento, y más adelante quiere suprimir tales datos personales, especialmente en internet. Sin embargo, el derecho de supresión no es absoluto. Cuando el tratamiento es necesario por varias razones legítimas, como para el ejercicio del derecho a la libertad de expresión e información, el derecho de supresión no aplica. Este artículo busca explorar el derecho de supresión desde la perspectiva dinámica del derecho de los niños, y busca identificar varias preguntas complicadas que pueden surgir en la práctica, y que están relacionadas con el equilibrio con otros derechos e intereses, la transparencia requerida, el potencial de solicitar la supresión cuando terceros (por ejemplo, los padres) han compartido información sobre el niño o dado consentimiento en nombre del niño, la conveniencia de los sistemas de supresión por defecto, y la aplicación de la regulación por parte de las autoridades de protección de datos.

Palabras clave:

Derecho al olvido

derecho de supresión

Reglamento General de Protección de Datos

niños

derechos de los niños

protección de datos

libertad de expresión

autoridades de protección de datos

A Child’s Right to be Forgotten: Letting Go of the Past and Embracing the Future?

Abstract

The European Union’s General Data Protection Regulation confirms the right of the data subject to have his or her personal data erased in its Article 17. Recital 65 GDPR clarifies that this right is particularly relevant where children have given their consent not being fully aware of the risks involved by the processing, and later want to remove personal data, especially on the Internet. Yet, the right to erasure is not absolute. When processing is necessary for a number of legitimate reasons, such as for the exercise of the right to freedom of expression and information, the right to erasure will not apply. This article seeks to explore the right to erasure from a dynamic child rights perspective, and aims to identify a number of challenging questions that may arise in practice, and that are related to the balance with other rights and interests, the required transparency, the potential to ask for erasure where others (for instance, parents) have shared information about the child or given consent on behalf of the child, the desirability of erasure-by-default systems, and enforcement by Data Protection Authorities.

Keywords:

Right to be forgotten

right to erasure

General Data Protection Regulation

child

children’s rights

data protection

freedom of expression

data protection authorities

INTRODUCCIÓN

El llamado “derecho al olvido” es una herramienta que puede resultar muy poderosa para fortalecer los derechos de los niños en el entorno digital. Aun así, también es una cuestión discutida intensamente en el contexto del marco de protección de datos de la Unión Europea. Si bien el derecho de supresión ya se había incluido en el artículo 12 de la Directiva de Protección de Datos2, desde 1995[3] el concepto de “olvido” en internet se catapultó al primer plano del debate público y académico en 2014 gracias a la sentencia sobre Google España del Tribunal de Justicia de la Unión Europea (TJUE)4. Este fallo confirmó que el “derecho al olvido” se puede hacer valer, permitiendo a un sujeto de derecho “restringir o poner fin a la diseminación de aquellos de sus datos personales que considere perjudiciales o contarios a sus intereses”5.

El Reglamento General de Protección de Datos (RGPD), el más reciente instrumento de protección de datos de la Unión Europea (UE), que entró en vigencia el 25 de mayo de 2018, contiene, en su artículo 17, “el derecho de supresión”, con el “derecho al olvido” añadido después en el título, entre paréntesis. Esta formulación refleja discusiones anteriores sobre la medida en la que estos derechos se diferencian o si en efecto significan o buscan alcanzar lo mismo6. Para el Supervisor Europeo de Protección de Datos, el artículo 17 “fortalece” el derecho de supresión al convertirlo en “el derecho al olvido para permitir una ejecución más efectiva de este derecho en el entorno digital”7. Consideramos que el artículo 17 del RGPD no crea un nuevo derecho, sino que describe el derecho de supresión de una manera mucho más detallada y explícita que antes. De hecho, estipula que el interesado (la persona cuyos datos se están tratando) tiene el “derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, en una variedad de circunstancias, como cuando los datos ya no son necesarios para los fines para los que se recolectaron, cuando se ha retirado el consentimiento o cuando el interesado se opone al tratamiento. Por lo tanto, esta obligación incumbe al “responsable del tratamiento”, un término que denota a “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”8. Puesto que el RGPD se aplica a todas las entidades —bien sea que estén establecidas en la UE o no— que ofrecen bienes o servicios a —o monitorean la conducta de— los ciudadanos de la UE9, su alcance territorial es lo suficientemente amplio como para extenderse a responsables de datos (por ejemplo, prestadores de servicios en línea) de cualquier lugar del mundo.

Otra innovación en comparación con la Directiva de Protección de Datos de 1995 es la manera explícita en que el RGPD enfatiza la relevancia del derecho al olvido para los niños. Los niños y adolescentes pueden no ser plenamente conscientes del hecho de que sus datos personales están siendo tratados, ni del hecho de que hay una variedad de actores que tratan sus datos (como administraciones gubernamentales, colegios, empresas y otros individuos). Los estudios han encontrado, por ejemplo, que los adolescentes más jóvenes no tienen suficiente conocimiento comercial para darse cuenta de que sus datos se están empleando con fines comerciales10. Además, los niños no siempre prevén las consecuencias a largo plazo de divulgar su información personal, en especial en el entorno digital11. Es posible que a medida que crezcan ya no quieran estar vinculados con información con la que ya no se identifican. En estos casos, el derecho de supresión permite mitigar la persistencia, visibilidad, extensibilidad y potencial de búsqueda de la información en línea, todo lo cual puede obstaculizar la exploración y experimentación con su identidad12.

Por lo tanto, este artículo busca explorar el derecho de supresión desde la perspectiva dinámica del derecho de los niños, argumentando que para ellos, en particular, el derecho al olvido puede resultar ser de gran importancia en términos de la materialización de sus derechos al desarrollo, a la libertad de expresión e información y a la vida privada. También busca identificar varias preguntas complicadas que pueden surgir en la práctica, por ejemplo consideraciones sobre el equilibrio que se debe lograr con otros derechos e intereses; la transparencia necesaria de parte de los responsables del tratamiento para informar a los niños sobre el derecho de supresión; la conveniencia de los sistemas por defecto; la posibilidad de solicitar la supresión cuando otros (por ejemplo, los padres) han compartido información sobre el niño o han dado consentimiento en nombre del niño; y, por último, la ejecución por parte de las autoridades de protección de datos.

Si bien el debate sobre el derecho de supresión también ha adquirido importancia en jurisdicciones externas a la Unión Europea, como en Colombia13, Brasil14 y California15, el enfoque de este artículo está limitado al derecho tal y como se encuentra conceptualizado en el RGPD, y a los marcos de derechos humanos y derechos de los niños que apuntalan a aquellos derechos que el derecho de supresión puede ayudar a proteger. Estos marcos no solo incluyen aquellos de la Unión Europea (UE) y el Consejo de Europa (CdE) y los documentos de derechos humanos emitidos por esas instituciones, sino que además incluyen la Convención sobre los Derechos del Niño de las Naciones Unidas, que está ratificada por 195 países alrededor del mundo.

1. EL DERECHO DE SUPRESIÓN CON RESPECTO A LOS DATOS DE LOS NIÑOS

Contrario a su predecesor, el RGPD sí presta atención específicamente a la protección de los datos personales de los niños. La razón 38 reconoce que este grupo de sujetos de datos en especial amerita una “protección específica” con respecto a sus datos personales. Si bien la noción de niño no está definida en el RGPD, el Grupo de Trabajo del Artículo 29 y varios académicos sostienen que, según la Convención sobre los Derechos del Niño, que está ratificada por todos los estados miembros de la Unión Europea, un niño es una persona menor de 18 años16.

La razón 38 refleja el derecho general de los niños a la privacidad, que se deriva directamente de la Convención sobre los Derechos del Niño. El artículo 6 sobre el derecho al desarrollo de los niños, el artículo 8 sobre el derecho de los niños a preservar su identidad, y el artículo 16 sobre el derecho de los niños a no ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, moldean este derecho17. El derecho a la privacidad y a la protección de datos de los niños, así como a la protección y el cuidado necesarios para su bienestar, también están incluidos directa e indirectamente en la Convención Europea de Derechos Humanos del Consejo de Europa18 y en la Carta de los Derechos Fundamentales de la UE19.

Estos derechos se interpretan de manera diferente para niños y para adultos. Los niños todavía no son maduros psicológica ni físicamente, sino que se están desarrollando física y mentalmente para convertirse en adultos20. El Grupo de Trabajo del Artículo 29 de la Unión Europea confirmó que los derechos del niño y el ejercicio de esos derechos —incluyendo el de protección de datos— deben expresarse de un modo tal que se pueda apreciar esta situación especial en la que se encuentran los niños21.

El derecho al olvido en particular es un derecho que reconoce tanto la inmadurez como el desarrollo de los niños.

La razón 65 del RGDP expresa literalmente que este derecho es de particular relevancia para los niños si el consentimiento para el tratamiento lo ha dado un niño que “no es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet”. Esto también se ha presentado como el argumento de “borrón y cuenta nueva”: los “pecados” cometidos al crecer no deberían perseguir a alguien por siempre22.

Es innegable que la información que se publica, comparte o disemina en internet puede tener un impacto gigantesco en la vida privada de un individuo. Debido a su fácil accesibilidad y a su alcance global, la internet ha facilitado un incremento en los riesgos y las infracciones relacionados con la privacidad, como el acoso23. El abuso de la información privada de un adolescente por parte de terceros es más nocivo en esta sociedad digital en la que la internet es omnipresente y donde los resultados de una búsqueda en línea “pueden hacer más que cualquier cosa en el mundo por definir a un extraño según la estima de los demás”24. Es preciso reiterar a este respecto que los niños no siempre están conscientes de la seriedad de la información que comparten, ni de la longevidad con la que se almacena. Así mismo, además de los datos compartidos conscientemente por un niño, van der Hof también señala los “datos emitidos”, datos que simplemente por estar y actuar en línea mediante computadores y dispositivos móviles se recolectan en gran medida de manera inconsciente o sin que se sepa, y los “datos inferidos”, que son datos nuevos que se derivan de otros datos, y que consisten en patrones y correlaciones25. Por consiguiente, la posibilidad de suprimir información con la que una persona ya no se identifica al crecer estaría alineada con el “mejor interés” del niño, en línea con el artículo 3 de la Convención sobre los Derechos del Niño y el artículo 24 (2) de la Carta de los Derechos Fundamentales26.

Para los controladores de datos, esto significa que si se han recolectado y tratado datos personales de niños, se debe dar “peso particular” a “cualquier solicitud de supresión si el tratamiento de los datos está basado en consentimiento dado por un niño, especialmente cualquier tratamiento de sus datos personales en internet”27. Este también es el caso cuando el interesado que solicitó la supresión de ciertos datos ya no es un niño y cuando los padres dieron consentimiento en nombre del niño28. Surge la pregunta de si los controladores de datos deberían pedir a los interesados información adicional para confirmar su identidad, con el fin de evitar circunstancias en las que alguien pueda solicitar la supresión de los datos de otra persona. Con respecto a esto, la Oficina del Comisionado de Información del Reino Unido ha declarado que si existen dudas sobre la identidad de la persona que realiza la solicitud, los controladores pueden pedir más información, asegurándose de que solo se solicite la información necesaria para confirmar a quién pertenecen los datos29.

Es igualmente importante el hecho de que cuando el responsable del tratamiento “haya hecho públicos los datos personales […] adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos”30. En el entorno digital, que está permeado por la capacidad de propagación de la información, esta obligación es esencial, pero también difícil de implementar. Especialmente en términos de los “datos emitidos” y los “datos inferidos”, mencionados antes, esto puede resultar muy complejo, o incluso inviable. Las autoridades de protección de datos han aclarado que esta es una obligación de medio o esfuerzo, en lugar de una obligación de resultado31.

En general, debería ser tan fácil para un niño ejercer su derecho de supresión como lo fue proporcionar los datos originalmente32. Sin embargo, en la práctica esto no siempre es así de sencillo, ni posible, por ejemplo porque otros derechos se encuentran en juego33.

2. EQUILIBRAR EL DERECHO DE SUPRESIÓN CON OTROS DERECHOS E INTERESES

El artículo 17 del RGPD reconoce que el derecho de supresión no es absoluto. Cuando el tratamiento es necesario por varias razones legítimas, más notablemente el ejercicio del derecho a la libertad de expresión e información, el derecho de supresión no se aplica34.

Equilibrar la privacidad y la protección de datos personales35, por un lado, con la libertad de expresión, por el otro lado, es una tarea increíblemente difícil de realizar. Al fin y al cabo, estos son derechos fundamentales garantizados por los artículos 8 y 11 de la Carta de los Derechos Fundamentales de la UE y por los artículos 8 y 10 de la Convención Europea de Derechos Humanos, y, por lo tanto, se consideran de igual valor36.

En particular, la libertad de expresión e información es un elemento básico de una sociedad democrática, como lo ha declarado en numerosas ocasiones el Tribunal Europeo de Derechos Humanos del Consejo de Europa con respecto al artículo 10 de la Convención. Esto llevó a que muchas personas expresaran sus preocupaciones frente al impacto que un derecho al olvido de largo alcance tendría en otros derechos fundamentales37. Tras el caso de Google España, varios medios de comunicación también objetaron que Google eliminara de los resultados de búsqueda los vínculos a sus artículos38.

La importancia de la naturaleza abierta de internet, y cómo contribuye a la libertad de expresión e información, se ha defendido vigorosamente39, y ha resonado en varios fallos del Tribunal Europeo de Derechos Humanos: la internet mejora el acceso a las noticias y facilita “compartir y diseminar la información de manera general”40.

A primera vista parecería problemático justificar que se interfiera drásticamente, como al suprimir información, con el derecho a la libertad de expresión. Sin embargo, muchas personas creen que el derecho al olvido en internet es necesario debido al “efecto de eternidad”41 inherente al entorno digital, así como por la dificultad de eliminar contenido en línea o una cuenta de una red social42. Sin embargo, en ciertas circunstancias el derecho a la libertad de expresión debe prevalecer. Por ejemplo, si el niño crece y se convierte en una figura pública (como un político)43, su pasado en línea podría ser relevante para el público, lo que puede ser una razón para rehusarse a suprimir sus datos personales —esta posibilidad está prevista en el recital 65 del RGPD44—. El grado en el que esta información sea relevante para el interés público servirá como criterio orientador para el ejercicio de equilibrar el derecho a la vida privada y la protección de datos personales con la libertad de recibir información.

Con respecto a esto, sostenemos que se necesita una evaluación humana para determinar si una solicitud de supresión debería cumplirse, si implicaría el riesgo de impactar negativamente la libertad de expresión, o si se aplica alguna de las otras excepciones establecidas en el artículo 17(3). Esto requiere que se invierta en personal (nuevo) que investigue las solicitudes de supresión, pues la alternativa —el uso de sistemas automáticos o algoritmos para tomar decisiones sobre estas solicitudes— quizás no tenga la capacidad de apreciar el contexto45 o de realizar el ejercicio de equilibrio descrito arriba. Al mismo tiempo, es preciso mitigar el riesgo de exceso de cumplimiento, pues es posible que las compañías quieran evitar disputas legales y por lo tanto supriman (automáticamente) información en cualquier caso de duda, lo que puede resultar en repercusiones negativas para la libertad de expresión.

3. TRANSPARENCIA Y EL DERECHO DE SUPRESIÓN DE LOS NIÑOS

Tener consciencia y conocimiento sobre el derecho de supresión es un prerrequisito para una experiencia significativa de este. El principio de transparencia, establecido en el artículo 5 (1) a del RGPD, se detalla en los artículos 12, 13 y 14 del RGPD. De acuerdo con el artículo 13 (2) b y el artículo 14 (2) c del RGPD, los responsables del tratamiento de datos deben informar al interesado sobre la existencia del derecho a solicitarle al controlador el acceso a sus datos personales y la posibilidad de rectificarlos o suprimirlos. Esta información debe ser “específica al escenario de tratamiento e incluir un resumen de lo que el derecho conlleva y cómo el interesado puede tomar medidas para ejercerlo, así como cualquier limitación al derecho”46. Además, la información debe ser comunicada de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cuando está dirigido a niños. Esto quiere decir que el vocabulario, tono y estilo del lenguaje empleado debe ser apropiado para los niños y resonar en ellos47. Algunos ejemplos que se han dado sobre las maneras en las que se puede transmitir esta información son cómics o caricaturas, pictogramas y animaciones48. Los responsables del tratamiento de datos pueden comprobar si la información que están transmitiendo es adecuada para los niños mediante paneles de usuarios49 o grupos focales compuestos por niños (de diferentes edades).

Como tal, no es posible alcanzar y empoderar a absolutamente todos los niños con la información sobre su derecho de supresión y sobre cómo ejercerlo. Siempre habrá niños (y lo mismo ocurre con los adultos) que no absorberán o asimilarán dicha información y, por lo tanto, no pondrán en práctica sus derechos.

4. CONVENIENCIA DE SISTEMAS DE SUPRESIÓN POR DISEÑO PARA LOS DATOS DE LOS NIÑOS

Un posible remedio para el hallazgo de que la transparencia tiene sus límites podría ser la adopción de la “supresión por diseño” cuando se trata de niños. Los principios de protección de datos por diseño y por defecto, que se han defendido por un buen tiempo, se incorporaron explícitamente en el artículo 25 del RGPD. Estos principios requieren que los controladores de datos implementen “medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados” y que apliquen “medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”50. En el pasado se ha sugerido que estos principios presentan oportunidades que pueden mitigar algunos de los problemas concernientes al control individual —por parte de los niños o de sus padres— sobre los datos personales, si se incorporan los derechos de control individual en la operación de los sistemas de datos, posiblemente volviéndolos más efectivos51.

Con respecto a los niños, ya se han presentado propuestas en términos de la supresión por diseño o por defecto. Por ejemplo, el Centro Canadiense por la Defensa el Interés Público, en el contexto de la Consulta Gubernamental de 2010 sobre una Estrategia de Economía Digital para Canadá, sugirió:

Cuando los niños alcanzan la mayoría de edad, aquellas organizaciones que han recolectado y usado su información personal ya no deberían poder conservar la información recolectada durante la “minoría legal” del niño, y debería exigírseles que eliminen la información de manera inmediata a menos que el interesado, ahora adulto, dé su consentimiento explícito para que se continúe con la recolección, uso, y posible divulgación de su información personal recolectada durante su minoría de edad52.

Si bien un mecanismo de este tipo en efecto pondría en práctica el argumento de “borrón y cuenta nueva”, también implicaría tener en cuenta las opiniones del interesado y requeriría de su consentimiento. No todos los interesados querrán que los datos recolectados y tratados durante su infancia se eliminen53. Sin embargo, es posible imaginar que los responsables del tratamiento de los datos ofrezcan esta opción a los interesados que cumplan 18 años, al menos cuando estén enterados de la edad del sujeto54.

5. EL DERECHO DE SUPRESIÓN DE LOS NIÑOS Y LA INFORMACIÓN COMPARTIDA POR SUS PADRES

Durante la infancia y la adolescencia, no solo se recolectan y tratan datos personales de los niños directamente de ellos. Los padres (u otros miembros de la familia) a menudo comparten información como fotos, videos o mensajes relacionados con el niño. Esta práctica, conocida como ‘sharenting’ (por la contracción de las palabras en inglés ‘compartir’ y ‘criar’), es generalizada55. Se ha argumentado que es una “práctica de autorrepresentación por parte de los padres sobre su estilo de crianza, en vez de entenderse simplemente como la exposición supuestamente inconsciente de los niños por parte de sus padres”56. Sin embargo, hay quienes afirman que la información compartida por los padres puede causar a los niños vergüenza y ansiedad sustanciales, y que los fuertes comentarios que otras personas realizan con respecto a esa información pueden impactar negativamente en su respeto propio57. En ciertas circunstancias, el derecho de los padres a la libertad de expresión y a la vida familiar puede, por lo tanto, entrar en conflicto con el derecho de los niños a la privacidad y a la protección de datos. Por ende, los padres deben “tener en cuenta los intereses del niño y consultarle sobre lo que se comparte sobre él, de acuerdo con su edad y madurez”58. Sin embargo, no todos los padres acatan este principio. Además, padres e hijos no siempre están de acuerdo, en particular durante la adolescencia, cuando el niño se encuentra explorando su identidad.

En aquellas circunstancias en las que los niños se ven afectados por la información que comparten sus padres, y en las que el diálogo con estos no funciona bien, nuestra opinión es que el derecho de supresión —en términos de los datos que se derivan de la información compartida por los padres— puede ser ejercido por los interesados; bien sea por parte de un niño que se puede considerar competente para hacerlo (ver más adelante), o por parte de un adulto cuando se trata de información que se trató durante su infancia. Vale la pena hacer dos salvedades sobre esto. En primer lugar, en aquellas circunstancias en las que la información compartida por los padres se considere “una actividad puramente personal o familiar”, el RGPD y, por lo tanto, el derecho de supresión, no se aplican59. Las circunstancias concretas de cada situación determinarán si este es el caso o no. Ciertas actividades en redes sociales, por ejemplo, podrían caer bajo esta excepción familiar60, otras posiblemente no. En segundo lugar, los niños que (aún) no son competentes legalmente para ejercer su derecho de supresión, y tienen que depender de sus padres o guardianes para hacerlo, evidentemente se encontrarán en una situación más complicada con relación a sus padres cuando se trate del ejercicio de su derecho de supresión. Quizás el artículo 80 (1) del RGPD puede proporcionar un recurso para esto, pues permite al interesado ordenar a una organización o asociación sin ánimo de lucro, con objetivos estatutarios en pro del interés público y activa en el campo de la protección de las libertades y derechos de los titulares de datos, que presente la solicitud en su nombre. Es posible imaginar que un niño acuda a servicios de protección infantil u otras organizaciones que representen los intereses de los niños para que estas presenten una solicitud en su nombre61.

6. EL EJERCICIO DEL DERECHO DE SUPRESIÓN Y EL ROL DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS

Como principio general, los derechos de protección de datos pueden ser ejercidos por la persona cuyos derechos se encuentren en riesgo: el titular de los datos62. El ejercicio de derechos bajo el RGPD debe ser fácil, gratuito y rápido. La razón 59 aclara que

Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

Por supuesto, cuando hay niños involucrados es preciso tener en cuenta aquella legislación nacional que incluya reglas sobre la capacidad legal. Estas reglas pueden ser diferentes dependiendo del país63, y pueden estar ligadas con una edad específica, con la madurez, o con el nivel de comprensión del menor. Con respecto al derecho de supresión, los menores de 18 años que se consideren legalmente capaces pueden (y deberían) ejercer este derecho64. Cuando los niños no tienen esa capacidad, el titular de la responsabilidad parental puede (por lo general) ejercer el derecho en nombre del menor65, excepto, por ejemplo, en casos en los que esto no sea favorable para el niño66. Es importante señalar que cuando el titular de la responsabilidad parental actúa en nombre del niño, el derecho del niño de ser escuchado, tal y como se encuentra consagrado en el artículo 12 de la Convención sobre los Derechos del Niño y en el artículo 24 de la Carta de los Derechos Fundamentales de la Unión Europea, debe tenerse en cuenta, según la edad y madurez del menor67.

En términos prácticos, cuando un menor o su representante quieran ejercer el derecho de supresión, primero es preciso que el responsable del tratamiento sea contactado con la solicitud68. Posteriormente, el responsable del tratamiento debe proporcionar información sobre las acciones que se tomaron con respecto a la solicitud, sin ninguna demora indebida y en cualquier evento dentro del mes siguiente a la recepción de la solicitud69. Si el responsable de los datos decide no tomar medidas, el interesado debe ser informado (de nuevo, sin demoras y a más tardar dentro del mes siguiente) sobre las razones por las cuales no se tomaron medidas y sobre la posibilidad de presentar una queja ante una autoridad de supervisión y buscar un recurso jurídico70. Esto quiere decir que en el caso de que un menor o su representante no esté satisfecho con la decisión del responsable del tratamiento de no suprimir ciertos datos, es posible presentar una queja ante la autoridad de protección de datos competente71, que investigará el caso y lo evaluará.

Además de quejarse ante una autoridad de protección de datos, los interesados también tienen derecho a un recurso judicial efectivo cuando consideren que sus derechos consagrados en el RGPD han sido violados, y por lo tanto pueden ejercer su derecho de supresión ante un tribunal (nacional). Por último, si esto no resulta satisfactorio, en un futuro las disputas podrían —si se respetan los requisitos procedimentales relevantes— terminar en el TJUE, o —debido a los posibles conflictos entre el derecho de respeto a la vida privada y el derecho a la libertad de expresión e información— dentro del contexto de las aplicaciones de los artículos 8 o 10 de la Convención Europea de Derechos Humanos, podrían terminar en el Tribunal Europeo de Derechos Humanos. Si esto ocurre, será interesante observar si estos dos tribunales realizarán ejercicios de equilibrio convergentes o divergentes.

CONCLUSIÓN

El entorno digital está “reestructurando las vidas de los niños de muchas maneras, lo cual resulta en nuevas oportunidades y riesgos para su bienestar y sus derechos”72. Es innegable que durante el transcurso de la infancia —y algunas veces incluso antes— se recolecta y trata una cantidad cada vez mayor de datos. Uno de los puntos de partida del RGPD es que las personas naturales deben tener el control de sus propios datos personales73. El derecho de supresión es un mecanismo que permite a los titulares de los datos ejercer ese control. No podemos más que dar la bienvenida a que el RGPD enfatice que este derecho es particularmente relevante para los niños, pues les permitirá —al menos en la medida en que lo deseen— dejar atrás el pasado. En ciertas instancias, esto será necesario para poder adoptar y aceptar plenamente el futuro.

En este orden de ideas, sostenemos que el ejercicio de este derecho se debe abordar desde la perspectiva de los derechos de los niños. Esto implica que, excepto en circunstancias interpretadas estrechamente en las que otros intereses prevalecen, el equilibrio debe inclinarse hacia la supresión cuando los niños ejercen su derecho. En cualquier caso, la principal consideración para evaluar las solicitudes debe ser el bienestar del menor y su derecho al desarrollo y al respeto de su vida privada. Todos los actores involucrados —responsables del tratamiento, padres y autoridades de protección de datos— deben comprometerse con esto.

Por supuesto, el potencial del derecho de supresión con respecto a menores de edad solo se puede alcanzar si los sujetos conocen la existencia de este derecho, y si el umbral para el ejercicio de este es lo suficientemente bajo. Si bien esto se puede solucionar en parte mejorando los niveles de conocimiento de los niños con respecto a las redes y a los datos, al final los responsables del tratamiento de los datos deben facilitar información adecuada para los niños y procedimientos que se ajusten a ellos. De lo contrario, las autoridades de protección de datos podrán responsabilizarlos74. En este momento resulta muy difícil predecir cómo se pondrá en práctica el derecho de supresión en relación con los datos de los niños. Los próximos meses y años nos traerán una mayor claridad en términos de la medida en que los interesados aprovecharán este derecho, las mejores prácticas adoptadas por los controladores de los datos, la orientación y toma de decisiones de las autoridades de protección de datos, y quizás, los fallos de los tribunales frente a las disputas.

BIBLIOGRAPHY

Legislation and Policy Documents

A. United Nations

1. 

United Nations. “Convention on the Rights of the Child”. UNTS 1577, 1989.

B. Council of Europe

2. 

Council of Europe. “Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data”. ETS 108, 1981.

3. 

Council of Europe. “Draft guidelines to promote, protect and fulfil children’s rights in the digital environment”. 2017.

4. 

Council of Europe. “Recommendation CM/Rec (2018)2 of the Committee of Ministers to member States on the roles and responsibilities of Internet intermediaries”. March 7, 2018.

C. European Union

5. 

European Parliament and European Council. “Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”. Official Journal L. 281. November 23, 1995.

6. 

European Commission. “Nellie Kroes, Speech: Freedom of Expression is No Laughing Matter”. September 2, 2014.

7. 

European Parliament and European Council. “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC”. Official Journal of the European Union L 119/1.

8. 

Fundamental Rights Agency. “Children’s rights and justice: Minimum age requirements in the EU”. 2018.

D. Article 29 Working Party

9. 

Article 29 Working Party. “Working Document 1/2008 on the protection of children’s personal data”. February 18, 2008.

10. 

Article 29 Working Party. “Opinion 5/2009 on online social networking”. June 12, 2009.

11. 

Article 29 Working Party. “Opinion 2/2010 on online behavioural advertising”. June 22, 2010.

12. 

Article 29 Working Party. “Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12”. November 26, 2014.

13. 

Article 29 Working Party. “Guidelines on transparency under Regulation 2016/679”. April 11, 2018.

E. Brazil

14. 

PLC 53/2018 (Data Protection Bill of Law) (July 10, 2018).

F. California

15. 

California Assembly, Assembly Bill n.° 375 (California Consumer Privacy Act of 2018) (June 28, 2018).

G. Colombia

16. 

Law 1266 of 2008. “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones”. December 31, 2008. DO: 47219.

Case law

A. Court of Justice of the European Union

17. 

Court of Justice of the European Union. Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González (C-131/12). May 13, 2014.

18. 

Court of Justice of the European Union. Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González (C-131/12). May 13, 2014. Opinion of Advocate General Jääskinen, point 108.

B. European Court of Human Rights

19. 

European Court of Human Rights. Neij and Kolmisoppi v. Sweden, n.° 40397/12. February 19, 2013.

20. 

European Court of Human Rights. Wegrzynowski and Smolczewski v. Poland, n.° 33846/07. July 16, 2013, para. 56.

C. Colombian Constitutional Court

21. 

Colombian Constitutional Court. Sentencia T-444/92 (M.P. Alejandro Martínez Caballero: July 7, 1992).

Doctrine

A. Books

22. 

Boyd, Danah. It’s complicated: the social lives of networked teens. New Haven: Yale University Press, 2014.

B. Contributions in books

23. 

Ciavarella, Rachele and Cecil De Terwangne. “Online Social Networks and young people’s privacy protection: the role of the right to be forgotten”. In Minding minors wandering the web: regulating online child safety, edited by Simone van der Hof, Bibi van den Berg and Bart Schermer (La Haya: Asser Press Springer, 2014), 157-172.

24. 

Groothuis Marga M. “The Right to Privacy for Children on the Internet”. In Minding minors wandering the web: regulating online child safety, edited by Simone van der Hof, Bibi van den Berg and Bart Schermer (La Haya: Asser Press Springer, 2014), 143-156.

25. 

Lievens, Eva, Sonia Livingstone, Sharon McLaughlin, Brian O’Neill and Valerie Verdoodt. “Children’s Rights and Digital Technologies”. In International Human Rights of Children, edited by Ursual Kilkelly and Toon Liefaard (Singapur: Springer, 2018), 1-27.

26. 

van der Hof, Simone. “No Child’s Play: Online Data Protection for Children”. In Minding minors wandering the web: regulating online child safety, edited by Simone van der Hof, Bibi van den Berg and Bart Schermer (La Haya: Asser Press Springer, 2014), 127-142.

C. Articles

27. 

Bessant, Claire. “Sharenting: balancing the conflicting rights between parents and children”. Communications Law 23, n.° 1 (2018): 7-24, http://nrl.northumbria.ac.uk/33818/

28. 

Blum-Ross, Alicia and Sonia Livingstone. “’Sharenting,’ parent blogging, and the boundaries of the digital self”. Popular Communication 15, n.° 2 (2017): 115-125, https://doi.org/10.1080/15405702.2016.1223300

29. 

Blume, Peter. “The data subject”. European Data Protection Law Review 1, n.° 4 (2015): 258-264, https://doi.org/10.21552/EDPL/2015/4/4

30. 

Bunn, Anna. “The curious case of the right to be forgotten”. Computer Law & Security Review 31, n.° 3 (2015): 336-350, https://doi.org/10.1016/j.clsr.2015.03.006.

31. 

Cofone, Ignacio N. “Google v. Spain: A Right To Be Forgotten?” Chicago-Kent Journal of International and Comparative Law 15, n.° 1 (2015): 1-11, https://papers.ssrn.com/sol3/papers. cfm?abstract_id=2548954.

32. 

Koops, Bert-Jaap, “Forgetting Footprints, Shunning Shadows: A Critical Analysis of the ‘Right to Be Forgotten’ in Big Data Practice”. SCRIPTed 8, n.° 3 (2011): 229-256, http://dx.doi.org/10.2139/ssrn.1986719.

33. 

Kulk, Stefan and Frederik Zuiderveen Borgesius. “Google Spain v. Gonzalez: Did the Court Forget about Freedom of Expression?” European Journal of Risk Regulation 5, n.° 3 (2014): 389-398, https://ssrn.com/abstract=2491486.

34. 

Lievens, Eva and Valerie Verdoodt. “Looking for needles in a haystack: key issues affecting children’s rights in the General Data Protection Regulation”. Computer Law & Security Review 34, n.° 2 (2018): 269-78, https://doi.org/10.1016/j.clsr.2017.09.007.

35. 

Steinberg, Stacey. “Sharenting: children’s privacy in the age of social media”. Emory Law Journal 66 (2017): 839-884, https://ssrn.com/abstract=2711442.

36. 

Van der Hof, Simone. “I agree… or do I? – A rights-based analysis of the law on children’s consent in the digital world”. Wisconsin International Law Journal 34 (2017): 409-445, http://hdl.handle.net/1887/58542.

37. 

Van der Hof, Simone y Eva Lievens. “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”. Communications Law 23, n.° 1 (2018): 33-43, https://ssrn.com/abstract=3107660.

D. Blog posts

38. 

Livingstone, Sonia and Ólafsson, Kjartan. “Children’s commercial media literacy: new evidence relevant to UK policy decisions regarding the GDPR”. Media Policy Project (blog), January 26, 2017. http://blogs.lse.ac.uk/mediapolicyproject/2017/01/26/childrens-commercial-media-literacy-new-evidence-relevant-to-uk-policy-decisions-regarding-the-gdpr/.

39. 

Peers, Steve. “The CJEU’s Google Spain Judgment: Failing to Balance Privacy and Freedom of Expression”. EU Law Analysis (blog), May 13, 2014. http://eulawanalysis.blogspot. co.uk/2014/05/the-cjeusgoogle-spain-judgment-failing.html.

40. 

Rolando, Caro. “How “The Right to Be Forgotten” Affects Privacy and Free Expression”. IFEX (blog), July 21, 2014. https://www.ifex.org/europe_central_asia/2014/07/21/right_forgotten.

41. 

Vassall-Adams, Guy. “Case comment: Google Spain SL, Google Inc vs. Agencia Española de Protección de Datos, Mario Costeja González”. Eutopia Law (blog), May 16, 2014. https://eutopialaw.com/2014/05/16/case-comment-googlespain-sl-google-inc-v-agencia-espanola-de-proteccion-de-datos-mario-costeja-gonzalez/.

Media

42. 

Arthur, Charles. 2014. “UK news organisations criticise Google over implementation of new law”. The Guardian, July 3. https://www.theguardian.com/technology/2014/jul/03/google-right-to-be-forgotten-law-uk-news-search-requests.

43. 

Romano, Aja. 2018. “How Facebook made it impossible to delete Facebook”. Vox, March 22. https://www.vox.com/culture/2018/3/22/17146776/delete-facebook-difficult.

44. 

Zittrain, Jonathan. 2014. “Don’t Force Google to ‘Forget’”. The New York Times, May 14. https://www.nytimes.com/2014/05/15/opinion/dont-force-google-to-forget.html.

Miscellaneous

45. 

European Data Protection Supervisor. “Opinion on the data protection reform package”. March 7, 2012.

46. 

Fundamental Rights Agency and Council of Europe. “Handbook on European Data Protection Law 2018 edition”. 2018.

47. 

Gegevensbeschermingsautoriteit. “Het recht om uw gegevens te laten wissen”. https://www.gegevensbeschermingsautoriteit.be/het-recht-om-uw-gegevens-te-laten-wissen-art-17-avg#overlay-context=.

48. 

Lansdown, Gerison. “Every child’s right to be heard: A resource guide on the UN Committee on the Rights of the Child General Comment n.° 12”, 2011, https://www.unicef.org/french/adolescence/files/Every_Childs_Right_to_be_Heard.pdf.

49. 

Public Interest Advocacy Centre. “Submission to the Government Consultation on A Digital Economy Strategy for Canada”, 2010, https://corporationscanada.ic.gc.ca/eic/site/028.nsf/eng/00217.html#p3.2.3.

50. 

Reporters Without Borders. “EU court enshrines “right to be forgotten”, in Spanish case against Google”. May 14, 2014, https://rsf.org/en/news/eu-court-enshrines-right-be-forgotten-spanish-case-against-google.

51. 

UK Information Commissioner’s Office. “Guide to the GDPR – Right to erasure”. https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.

52. 

UK Information Commissioner’s Office. “Guide to the GDPR – Children”. https://ico.org. uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

53. 

Walz, Stefan. “Relationship between the freedom of the press and the right to informational privacy in the emerging information society”, 19th International Data Protection Commisars Conference, 1997.

Notes

[1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L. 281, November 23, 1995, 31–50; no longer in force. Article 12 stipulated that “Member States shall guarantee every data subject the right to obtain from the controller: […] (b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data […]”.

[2] As well as Article 9 (1) e) of the 1981 Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.

[3] Court of Justice of the European Union, (Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González). C-131/12 (May 17, 2014).

[4] Court of Justice of the European Union, (Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González). C-131/12 (May 17, 2014). Opinion of Advocate General Jääskinen, point 108.

[5] See, for instance, Bert-Jaap Koops, “Forgetting Footprints, Shunning Shadows: A Critical Analysis of the ‘Right to Be Forgotten’ in Big Data Practice”. SCRIPTed 8, n.° 3 (2011): 229-256, http://dx.doi.org/10.2139/ssrn.1986719; Ignacio N. Cofone, “Google v. Spain: A Right To Be Forgotten?” Chicago-Kent Journal of International and Comparative Law 15, n.° 1 (2015): 1-11, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2548954.

[6] “Opinion on the data protection reform package”, European Data Protection Supervisor, March 7, 2012, point 146.

[7] The EU General Data Protection Regulation (GDPR). Article 4 (7) May 25, 2018.

[8] GDPR. Article 3.

[9] Sonia Livingstone and Kjartan Ólafsson, “Children’s commercial media literacy: new evidence relevant to UK policy decisions regarding the GDPR”, Media Policy Project (blog), January 26, 2017, http://blogs.lse.ac.uk/mediapolicyproject/2017/01/26/childrens-commercial-media-literacy-new-evidence-relevant-to-uk-policy-decisions-regarding-the-gdpr/.

[10] Rachele Ciavarella and Cecil De Terwangne, “Online Social Networks and young people’s privacy protection: the role of the right to be forgotten”, in Minding minors wandering the web: regulating online child safety. eds., Simone van der Hof, Bibi van den Berg y Bart Schermer (La Haya: Asser Press Springer, 2014), 158; GDPR. Recital 65. May 25, 2018.

[11] Danah Boyd, It’s complicated: the social lives of networked teens (New Haven: Yale University Press, 2014).

[12] The Colombian ‘habeas data’ principle is enshrined in Article 15 of the Colombian Constitution, and has been further developed in the context of financial services. See: Corte Constitutional Colombia, T-444/92 July 7, 1992 MP Alejandro Martínez Caballero; Law 1266 of 2008, December 31, 2008. Disposiciones generales del hábeas data. Diario oficial 47219.

[13] Such as Brazil’s Data Protection Bill, which foresees two instances of erasure in its Article 18. Section IV states that the data subject has the right to obtain “deletion of data unnecessary, excessive or processed contrary to the Bill.” Section VI goes further by determining that erasure can also be obtained “of personal data processed with the consent of the holder, except in the cases provided for in Art. 16 of this Law”. See: Brazil Senate, PLC 53/2018 (Data Protection Bill of Law) (10 July 2018).

[14] California Assembly, Assembly Bill No. 375 (California Consumer Privacy Act of 2018) (28 June 2018). Its version of the right to be forgotten can be found in Article 1798.105, and the Bill will enter into force on January 1, 2020. In addition, the Online Eraser Law was adopted in 2013 (California Senate, Senate Bill No. 568 (Online Eraser Law) (23 September 2013)).

[15] Simone van der Hof, “I agree… or do I? - A rights-based analysis of the law on children’s consent in the digital world”, Wisconsin International Law Journal 34, n.° 2 (2017): 409-445, http://hdl.handle.net/1887/58542; “Guidelines on transparency under Regulation 2016/679” Article 29 Working Party, April 11, 2018, 10.

[16] Marga M. Groothuis, “The Right to Privacy for Children on the Internet”, in Minding minors wandering the web: regulating online child safety. eds., Simone van der Hof, Bibi van den Berg and Bart Schermer (La Haya: Asser Press Springer, 2014), 152.

[17] European Court of Human Rights (ECHR). Article 8. September 3, 1953.

[18] Charter of Fundamental Rights of the European Union (CFREU). Articles 7, 8 and 24. December 18, 2000.

[19] Simone van der Hof, “No Child’s Play: Online Data Protection for Children”, in Minding minors wandering the web: regulating online child safety, eds., Simone van der Hof, Bibi van den Berg and Bart Schermer (La Haya: Asser Press Springer, 2014), 129.

[20] “Working Document 1/2008 on the protection of children’s personal data,” Article 29 Working Party, February 18, 2008; “Opinion 2/2010 on online behavioural advertising”, Article 29 Working Party, June 22, 2010; “Opinion 5/2009 on online social networking”, Article 29 Working Party, June 12, 2009.

[21] Anna Bunn, “The curious case of the right to be forgotten”, Computer Law & Security Review 31, n.° 3 (2015): 336-350, https://doi.org/10.1016/j.clsr.2015.03.006; Simone van der Hof y Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, Communications Law 23, n.° 1 (2018): 37, https://ssrn.com/abstract=3107660.

[22] Council of Europe. “Recommendation of the Committee of Ministers to member States on the roles and responsibilities of internet intermediaries. CM/Rec (2018)2”, March 7, 2018.

[23] Jonathan Zittrain, “Don’t Force Google to ‘Forget’”, The New York Times, May 14, 2014, https://www.nytimes.com/2014/05/15/opinion/dont-force-google-to-forget.html.

[24] Simone van der Hof, “I agree… or do I? - A rights-based analysis of the law on children’s consent in the digital world”, Wisconsin International Law Journal 34, (2017): 409-445, http://hdl.handle.net/1887/58542.

[25] Eva Lievens and Valerie Verdoodt, “Looking for needles in a haystack: key issues affecting children’s rights in the General Data Protection Regulation”, Computer Law & Security Review 34, n.° 2 (2018): 269-278, https://doi.org/10.1016/j.clsr.2017.09.007. The UN Convention on the Rights of the Child 1989 (UNCRC) recognizes children as holders of fundamental rights rather than mere objects of protection. The best interest of the child entails that “in all actions concerning children […] the best interests of the child shall be the primary consideration” (Art 3 UNCRC).

[26] “Guide to the GDPR – Right to erasure,” UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.

[27] GDPR. Recital 65.

[28] GDPR. Article 12 (6); “Guide to the GDPR – Right to erasure,” UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.

[29] GDPR. Article 17(2).

[30] “Het recht om uw gegevens te laten wissen”, Gegevensbeschermingsautoriteit, https://www.gegevensbeschermingsautoriteit.be/het-recht-om-uw-gegevens-te-laten-wissen-art-17-avg#overlay-context=; “Opinion of the data protection reform package”, European Data Protection Supervisor, March 7, 2012, 147.

[31] “Guide to the GDPR – Right to erasure”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/. Recital 65 GDPR.

[32] Peter Blume, “The data subject”, European Data Protection Law Review 1, n.° 4 (2015): 258-264. https://doi.org/10.21552/EDPL/2015/4/4.

[33] See Article 17(2) GDPR. Other reasons are “for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3); for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or for the establishment, exercise or defence of legal claims”. Recital 4 GDPR also emphasizes the importance of balancing the various rights at stake more in general: “The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality. This Regulation respects all fundamental rights and observes the freedoms and principles recognised in the Charter as enshrined in the Treaties, in particular the respect for private and family life, home and communications, the protection of personal data, freedom of thought, conscience and religion, freedom of expression and information, freedom to conduct a business, the right to an effective remedy and to a fair trial, and cultural, religious and linguistic diversity.”

[34] Whether personal data protection is considered as a subset of privacy, or as a standalone right.

[35] European Court of Human Rights, Wegrzynowski and Smolczewski v. Poland, n.° 33846/07, July 16, 2013, para. 56.

[36] Stefan Kulk and Frederik Zuiderveen Borgesius, “Google Spain v. Gonzalez: Did the Court Forget about Freedom of Expression?”, European Journal of Risk Regulation 5, n.° 3 (2014): 389, https://ssrn.com/abstract=2491486; Steve Peers, “The CJEU’s Google Spain Judgment: Failing to Balance Privacy and Freedom of Expression”, EU Law Analysis, (2014), http://eulawanalysis.blogspot.co.uk/2014/05/the-cjeusgoogle-spain-judgment-failing.html; Caro Rolando, “How “The Right to Be Forgotten” Affects Privacy and Free Expression”, IFEX, (2014), https://www.ifex.org/europe_central_asia/2014/07/21/right_forgotten; Guy Vassall-Adams, “Case comment: Google Spain SL, Google Inc v. Agencia Española de Protección de Datos, Mario Costeja González”, Eutopia Law, (2014), https://eutopialaw.com/2014/05/16/case-comment-googlespain-sl-google-inc-v-agencia-espanola-de-proteccion-de-datos-mario-costeja-gonzalez/; “EU court enshrines “right to be forgotten” in Spanish case against Google”, Reporteros sin Fronteras, May 14, 2014, https://rsf.org/en/news/eu-court-enshrines-right-be-forgotten-spanish-case-against-google.

[37] Charles Arthur, “UK news organisations criticise Google over implementation of new law”, The Guardian, July 3, 2014, https://www.theguardian.com/technology/2014/jul/03/google-right-to-be-forgotten-law-uk-news-search-requests.

[38] Nellie Kroes, Speech: “Freedom of Expression is No Laughing Matter,” European Commission, September 2, 2014, http://europa.eu/rapid/press-release_SPEECH-14-575_en.htm.

[39] European Court of Human Rights, Neij and Kolmisoppi v. Sweden, n.° 40397/12, February 19, 2013.

[40] Stefan Walz, “Relationship between the freedom of the press and the right to informational privacy in the emerging information society”, 19th International Data Protection Commisars Conference, 1997.

[41] Aja Romano, “How Facebook made it impossible to delete Facebook”, Vox, March 22, 2018, https://www.vox.com/culture/2018/3/22/17146776/delete-facebook-difficult.

[42] “Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12;” Article 29 Working Party, November 26, 2014, http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf, 2: “The interest of the public will be significantly greater if the data subject plays a role in public life”.

[43] Peter Blume, “The data subject”, European Data Protection Law Review 1, n.° 4 (2015): 258-264, https://doi.org/10.21552/EDPL/2015/4/4.

[44] Council of Europe. “Recommendation CM/Rec (2018)2 of the Committee of Ministers to member States on the roles and responsibilities of Internet intermediaries”, March 7, 2018.

[45] “Guidelines on transparency under Regulation 2016/679,” Article 29 Working Party, April 11, 2018, http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

[46] Ibid. 10; GDPR. Recital 58.

[47] Guidelines on transparency under Regulation 2016/679,” Article 29 Working Party, April 11, 2018, http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025, 12.

[48] Ibid. 7.

[49] GDPR. Article 25.

[50] Simone van der Hof and Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, Communications Law 23, n.° 1 (2018): 35, https://ssrn.com/abstract=3107660.

[51] “Submission to the Government Consultation on A Digital Economy Strategy for Canada”, Public Interest Advocacy Centre, 2010, https://corporationscanada.ic.gc.ca/eic/site/028.nsf/eng/00217.html#p3.2.3.

[52] Simone van der Hof and Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, cit., 37.

[53] Many children lie about their age when creating profiles for services that restrict the use of their services to children above a certain age.

[54] Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.° 1 (2018): 7, http://nrl.northumbria.ac.uk/33818/.

[55] Alicia Blum-Ross and Sonia Livingstone, “‘Sharenting’, parent blogging, and the boundaries of the digital self”, Popular Communication 15, n.° 2 (2017): 115-125, https://doi.org/10.1080/15405702.2016.1223300.

[56] Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.° 1 (2018): 7, http://nrl.northumbria.ac.uk/33818/.

[57] Stacey Steinberg, “Sharenting: children’s privacy in the age of social media”, Emory Law Journal 66 (2017): 839, https://ssrn.com/abstract=2711442; Eva Lievens, Sonia Livingstone, Sharon McLaughlin, Brian O’Neill and Valerie Verdoodt, “Children’s Rights and Digital Technologies”, in International Human Rights of Children, eds., Ursual Kilkelly y Toon Liefaard (Singapur, Springer, 2018) 11.

[58] Ibid.

[59] GDPR. Article 2 (2) c). See also: Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.° 1 (2018): 18, http://nrl.northumbria.ac.uk/33818/.

[60] GDPR. Recital 18; “Handbook on European Data Protection Law 2018 edition”, Fundamental Rights Agency and Council of Europe, 2018, 103 et seq.

[61] “Guide to the GDPR – Children,” UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

[62] Handbook on European Data Protection Law 2018 edition”, Fundamental Rights Agency and Council of Europe, 2018.

[63] “Children’s rights and justice: Minimum age requirements in the EU,” Fundamental Rights Agency, 2018.

[64] “Guide to the GDPR – Children,” UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be

[65] “Guide to the GDPR – Children”.

[66] “Guide to the GDPR – Children”.

[67] “Every child’s right to be heard: A resource guide on the UN Committee on the Rights of the Child General Comment No. 12,” Gerison Lansdown, 2011, https://www.unicef.org/french/adolescence/files/Every_Childs_Right_to_be_Heard.pdf.

[68] GDPR. Article 12.

[69] GDPR. Article 12 (3).

[70] GDPR. Article 12 (4).

[71] GDPR. Article 77.

[72] “Draft guidelines to promote, protect and fulfil children’s rights in the digital environment”, Council of Europe, 2017.

[73] GDPR. Recital 7.

[74] GDPR. Article 5 (2).

[1] N. del trad.: Las razones expresadas en la exposición de motivos del RGPD están enumeradas consecutivamente, y el término utilizado en la versión en español para identificarlas es “razón”. En inglés se utiliza el término “recital”. En la traducción de este artículo se usan los términos “razón” o “recital” indistintamente para hacer alusión al correspondiente apartado de la citada exposición de motivos.

[2] Directiva 95/46/EC del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Diario Oficial L. 281, noviembre 23, 1995, 31-50; ya no está vigente. El artículo 12 estipulaba que “Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento: […] (b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos […]”.

[3] Así como el artículo 9 (1) e) del Convenio del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales.

[4] Tribunal de Justicia de la Unión Europea. (Google Spain SL y Google Inc. vs. Agencia Española de Protección de Datos (AEPD) y Mario Costeja González). C-131/12 (17 mayo, 2014).

[5] Tribunal de Justicia de la Unión Europea. (Google Spain SL y Google Inc. vs. Agencia Española de Protección de Datos (AEPD) y Mario Costeja González). C-131/12 (17 de mayo, 2014). Opinión del Abogado General Jääskinen, punto 108.

[6] Véase, por ejemplo: Bert-Jaap Koops, “Forgetting Footprints, Shunning Shadows: A Critical Analysis of the ‘Right to Be Forgotten’ in Big Data Practice”. SCRIPTed 8, n.º 3 (2011): 229-256, http://dx.doi.org/10.2139/ssrn.1986719; Ignacio N. Cofone, “Google v. Spain: A Right To Be Forgotten?”. Chicago-Kent Journal of International and Comparative Law 15, n.º 1 (2015): 1-11, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2548954.

[7] Supervisor Europeo de Protección de Datos. Opinion on the data protection reform package. Punto 146. (Marzo 7, 2012).

[8] Reglamento General de Protección de Datos (RGPD). Artículo 4 (7). Mayo 25 de 2018.

[9] Reglamento General de Protección de Datos (RGPD). Artículo 3. Mayo 25 de 2018.

[10] Sonia Livingstone y Kjartan Ólafsson, “Children’s commercial media literacy: new evidence relevant to UK policy decisions regarding the GDPR”, Media Policy Project (blog), 26 de enero de 2017, https://blogs.lse.ac.uk/mediapolicyproject/2017/01/26/childrens-commercial-media-literacy-new-evidence-relevant-to-uk-policy-decisions-regarding-the-gdpr/.

[11] Rachele Ciavarella y Cecil De Terwangne, “Online Social Networks and young people’s privacy protection: the role of the right to be forgotten”, en Minding minors wandering the web: regulating online child safety. eds., Simone van der Hof, Bibi van den Berg y Bart Schermer (La Haya: Asser Press Springer, 2014), 158; Reglamento General de Protección de Datos (RGPD). Recital 65. Mayo 25 de 2018.

[12] Danah Boyd, It’s complicated: the social lives of networked teens (New Haven: Yale University Press, 2014).

[13] El principio colombiano de “habeas data” está consagrado en el artículo 15 de la Constitución Política, y se ha desarrollado más a fondo en el contexto de los servicios financieros. Véase Corte Constitucional de Colombia. Sentencia T-444 del 7 de Julio de 1992 (MP: Alejandro Martínez Caballero); Ley 1266 de 2008, 31 de diciembre de 2008. Disposiciones generales del hábeas data. Diario oficial 47219.

[14] Como el proyecto de ley de protección de datos de Brasil, que prevé dos instancias para la supresión en su artículo 18. La sección IV establece que el interesado tiene derecho a obtener “la supresión de datos innecesarios, excesivos o tratados de manera contraria al proyecto”. La sección VI va más allá al determinar que la supresión también se puede obtener en el caso de “datos personales tratados con el consentimiento del interesado, excepto en los casos previstos en el art. 16 de esta Ley”. Véase Senado de Brasil PLC 53/2018. (Proyecto de Ley de Protección de Datos) (10 de julio de 2018).

[15] Asamblea de California, Assembly Bill n.º 375 (California Consumer Privacy Act of 2018) (28 de junio de 2018). Su versión del derecho al olvido se puede encontrar en el artículo 1798.105, y el proyecto de ley entrará en vigencia el 1.º de enero de 2020. Además, la Ley borrador en línea (Online Eraser Law) se adoptó en 2013 (California Senate, Senate Bill n.º 568 [Online Eraser Law] [23 September 2013]).

[16] Simone van der Hof, “I agree… or do I? - A rights-based analysis of the law on children’s consent in the digital world”, Wisconsin International Law Journal 34, n.º 2 (2017): 409-445, http://hdl.handle.net/1887/58542; “Guidelines on transparency under Regulation 2016/679”, Grupo de Trabajo del Artículo 29, 11 de abril de 2018, 10.

[17] Marga M. Groothuis, “The Right to Privacy for Children on the Internet” en Minding minors wandering the web: regulating online child safety. eds., Simone van der Hof, Bibi van den Berg y Bart Schermer (La Haya: Asser Press Springer, 2014), 152.

[18] Convención Europea de Derechos Humanos. Artículo 8. Septiembre 3, 1953.

[19] Carta de los Derechos Fundamentales de la Unión Europea. Artículos 7, 8 y 24. Diciembre 18, 2000.

[20] Simone van der Hof, “No Child’s Play: Online Data Protection for Children” en Minding minors wandering the web: regulating online child safety, eds., Simone van der Hof, Bibi van den Berg y Bart Schermer (La Haya: Asser Press Springer, 2014), 129.

[21] “Working Document 1/2008 on the protection of children’s personal data”, Grupo de Trabajo del Artículo 29, febrero 18 de 2008; “Opinion 2/2010 on online behavioural advertising”, Grupo de Trabajo del Artículo 29, junio 22 de 2010; “Opinion 5/2009 on online social networking”, Grupo de Trabajo del Artículo 29, junio 12 de 2009.

[22] Anna Bunn, “The curious case of the right to be forgotten”, Computer Law & Security Review 31, n.º 3 (2015): 336-350, https://doi.org/10.1016/j.clsr.2015.03.006; Simone van der Hof y Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, Communications Law 23, n.º 1 (2018): 37, https://ssrn.com/abstract=3107660.

[23] Consejo de Europa. Recommendation of the Committee of Ministers to member States on the roles and responsibilities of internet intermediaries. CM/Rec(2018)2. (Marzo 7, 2018).

[24] Jonathan Zittrain, “Don’t Force Google to ‘Forget’”, The New York Times, 14 de mayo de 2014, https://www.nytimes.com/2014/05/15/opinion/dont-force-google-to-forget.html.

[25] Simone van der Hof, “I agree… or do I? - A rights-based analysis of the law on children’s consent in the digital world”, Wisconsin International Law Journal 34, (2017): 409-45, https://hdl.handle.net/1887/58542.

[26] Eva Lievens y Valerie Verdoodt, “Looking for needles in a haystack: key issues affecting children’s rights in the General Data Protection Regulation”, Computer Law & Security Review 34, n.º 2 (2018): 269-278, https://doi.org/10.1016/j.clsr.2017.09.007. La Convención de las Naciones Unidas sobre los Derechos del Niño de 1989 reconoce a los niños como titulares de derechos fundamentales y no solo como simples objetos de protección. Esto implica que “en todas las medidas concernientes a los niños […] una consideración primordial a que se atenderá será el interés superior del niño” (artículo 3 de la Convención sobre los Derechos del Niño).

[27] “Guide to the GDPR-Right to erasure”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.

[28] Reglamento General de Protección de Datos (RGPD). Recital 65. Mayo 25 de 2018.

[29] Reglamento General de Protección de Datos (RGPD). Artículo 12 (6). Mayo 25 de 2018; “Guide to the GDPR-Right to erasure”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.

[30] Reglamento General de Protección de Datos (RGPD). Artículo 17 (2). Mayo 25 de 2018.

[31] “Het recht om uw gegevens te laten wissen”, Gegevensbeschermingsautoriteit, https://www.gegevensbeschermingsautoriteit.be/het-recht-om-uw-gegevens-te-laten-wissen-art-17-avg#overlay-context=; “Opinion of the data protection reform package”, European Data Protection Supervisor, 7 de marzo de 2012, 147.

[32] Guide to the GDPR-Right to erasure”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/; Reglamento General de Protección de Datos (RGPD). Recital 65. Mayo 25 de 2018.

[33] Peter Blume, “The data subject”, European Data Protection Law Review 1, n.º 4 (2015): 258-264. https://doi.org/10.21552/EDPL/2015/4/4.

[34] Véase Reglamento General de Protección de Datos (RGPD). Artículo 17 (2). Mayo 25 de 2018. Otras razones son “para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h e i, y apartado 3; con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento; o para la formulación, el ejercicio o la defensa de reclamaciones”. El Recital 4 del RGPD también enfatiza la importancia de equilibrar los diferentes derechos en juego de manera más general: “El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística”.

[35] Bien sea que la protección de datos personales se considere un derivado de la privacidad o un derecho autónomo.

[36] Tribunal Europeo de Derechos Humanos. (Wegrzynowski y Smolczewski vs. Polonia). 33846/07 (16 de julio, 2013). Para. 56.

[37] Stefan Kulk y Frederik Zuiderveen Borgesius, “Google Spain v. Gonzalez: Did the Court Forget about Freedom of Expression?”, European Journal of Risk Regulation 5, n.º 3 (2014): 389, https://ssrn.com/abstract=2491486; Steve Peers, “The CJEU’s Google Spain Judgment: Failing to Balance Privacy and Freedom of Expression”, EU Law Analysis, (2014), http://eulawanalysis.blogspot.co.uk/2014/05/the-cjeusgoogle-spain-judgment-failing.html;Caro Rolando, “How “The Right to Be Forgotten” Affects Privacy and Free Expression”, IFEX, (2014), https://www.ifex.org/europe_central_asia/2014/07/21/right_forgotten; Guy Vassall-Adams, “Case comment: Google Spain SL, Google Inc vs. Agencia Española de Protección de Datos, Mario Costeja González”, Eutopia Law, (2014), https://eutopialaw.com/2014/05/16/case-comment-googlespain-sl-google-inc-v-agencia-espanola-de-proteccion-de-datos-mario-costeja-gonzalez/; “EU court enshrines “right to be forgotten” in Spanish case against Google”, Reporteros sin Fronteras, 14 de mayo de 2014, https://rsf.org/en/news/eu-court-enshrines-right-be-forgotten-spanish-case-against-google.

[38] Charles Arthur, “UK news organisations criticise Google over implementation of new law”, The Guardian, (2014), https://www.theguardian.com/technology/2014/jul/03/google-right-to-be-forgotten-law-uk-news-search-requests.

[39] Nellie Kroes Speech: “Freedom of Expression is No Laughing Matter”, Comisión Europea, 2 de septiembre de 2014, https://europa.eu/rapid/press-release_SPEECH-14-575_en.htm.

[40] Tribunal Europeo de Derechos Humanos. (Neij y Kolmisoppi vs. Suecia). 40397/12 (19 de febrero, 2013).

[41] Stefan Walz, “Relationship between the freedom of the press and the right to informational privacy in the emerging information society”. 19ª Conferencia Internacional de Protección de Datos Personales, 1997.

[42] Aja Romano, “How Facebook made it impossible to delete Facebook”, Vox, (2018), https://www.vox.com/culture/2018/3/22/17146776/delete-facebook-difficult.

[43] “Guidelines on the implementation of the Court of Justice of the European Union judgment on Google Spain and Inc vs. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González”. C-131/12, Grupo de Trabajo del Artículo 29, 26 de noviembre de 2014, http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf, 2: “The interest of the public will be significantly greater if the data subject plays a role in public life”.

[44] Peter Blume, “The data subject”, European Data Protection Law Review 1, n.º 4 (2015): 258-264, https://doi.org/10.21552/EDPL/2015/4/4.

[45] Consejo de Europa. Recommendation of the Committee of Ministers to member States on the roles and responsibilities of internet intermediaries. CM/Rec(2018)2. (Marzo 7, 2018).

[46] “Guidelines on transparency under Regulation” 2016/679, Grupo de Trabajo del Artículo 29, 11 de abril de 2018, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

[47] “Guidelines on transparency under Regulation” 2016/679, Grupo de Trabajo del Artículo 29, 11 de abril de 2018, 10, http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025; Reglamento General de Protección de Datos (RGPD). Recital 58.

[48] “Guidelines on transparency under Regulation” 2016/679, Grupo de Trabajo del Artículo 29, 11 de abril de 2018, 12, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

[49] “Guidelines on transparency under Regulation” 2016/679, Grupo de Trabajo del Artículo 29, 11 de abril de 2018, 7, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

[50] Reglamento General de Protección de Datos (RGPD). Artículo 12 (6). Mayo 25 de 2018.

[51] Simone van der Hof y Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, Communications Law 23, n.º 1 (2018): 35, https://ssrn.com/abstract=3107660.

[52] “Submission to the Government Consultation on A Digital Economy Strategy for Canada”, Public Interest Advocacy Centre, 2010, https://corporationscanada.ic.gc.ca/eic/site/028.nsf/eng/00217.html#p3.2.3.

[53] Simone van der Hof y Eva Lievens, “The importance of privacy by design and data protection impact assessments in strengthening protection of children’s personal data under the GDPR”, Communications Law 23, n.º 1 (2018): 37, https://ssrn.com/abstract=3107660.

[54] Muchos niños mienten sobre su edad cuando crean perfiles en servicios que restringen su uso a niños mayores de cierta edad.

[55] Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.º 1 (2018): 7, https://nrl.northumbria.ac.uk/33818/.

[56] Alicia Blum-Ross y Sonia Livingstone, “‘Sharenting’, parent blogging, and the boundaries of the digital self”, Popular Communication 15, n.º 2 (2017): 115-125, https://doi.org/10.1080/15405702.2016.1223300.

[57] Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.º 1 (2018): 7, https://nrl.northumbria.ac.uk/33818/.

[58] Stacey Steinberg, “Sharenting: children’s privacy in the age of social media”, Emory Law Journal 66, (2017): 839, https://ssrn.com/abstract=2711442; Eva Lievens, Sonia Livingstone, Sharon McLaughlin, Brian O’Neill y Valerie Verdoodt, “Children’s Rights and Digital Technologies”, en International Human Rights of Children, eds., Ursual Kilkelly y Toon Liefaard (Singapur, Springer, 2018) 11.

[59] Reglamento General de Protección de Datos (RGPD). Artículo 2 (2) c. Mayo 25 de 2018. Véase también: Claire Bessant, “Sharenting: balancing the conflicting rights between parents and children”, Communications Law 23, n.º 1 (2018): 18, https://nrl.northumbria.ac.uk/33818/.

[60] Reglamento General de Protección de Datos (RGPD). Recital 18. Mayo 25 de 2018; “Handbook on European Data Protection Law 2018 edition”, Agencia de los Derechos Fundamentales y Consejo de Europa, 2018, 103 et seq.

[61] “Guide to the GDPR-Children”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

[62] “Handbook on European Data Protection Law 2018 edition”, Agencia de los Derechos Fundamentales y Consejo de Europa, 2018.

[63] “Children’s rights and justice: Minimum age requirements in the EU”, Agencia de los Derechos Fundamentales, 2018.

[64] “Guide to the GDPR-Children”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

[65] “Guide to the GDPR-Children”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

[66] “Guide to the GDPR-Children”, UK Information Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr/what-rights-do-children-have/#_Right_to_be.

[67] “Every child’s right to be heard: A resource guide on the UN Committee on the Rights of the Child General Comment n.º 12”, Gerison Lansdown, 2011, https://www.unicef.org/french/adolescence/files/Every_Childs_Right_to_be_Heard.pdf.

[68] Reglamento General de Protección de Datos (RGPD). Artículo 12. Mayo 25 de 2018.

[69] Reglamento General de Protección de Datos (RGPD). Artículo 12 (3). Mayo 25 de 2018.

[70] Reglamento General de Protección de Datos (RGPD). Artículo 12 (4). Mayo 25 de 2018.

[71] Reglamento General de Protección de Datos (RGPD). Artículo 77. Mayo 25 de 2018.

[72] “Draft guidelines to promote, protect and fulfil children’s rights in the digital environment”, Consejo de Europa, 2017.

[73] Reglamento General de Protección de Datos (RGPD). Recital 7. Mayo 25 de 2018.

[74] Reglamento General de Protección de Datos (RGPD). Artículo 5 (2). Mayo 25 de 2018.